Como a Lei 13.709/2018 vem sendo aplicada desde que entrou em vigor?

Em se tratando de regulamentação das políticas de uso de dados, surgiram novas tendências globais, com mudanças significativas em sistemas jurídicos de inúmeros países, cujo foco está em traçar diretrizes claras rumo à privacidade e segurança.

E no Brasil não foi diferente. Após oito anos de debates e redações, em 14 de agosto de 2018, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados do Brasil, conhecida como LGPD (Lei nº 13.709/2018).
A lei entrou em vigor em setembro de 2020, possibilitando às empresas e organizações um período de 18 meses para se adequarem. Com isso, o Brasil entrou no rol dos 120 países que possuem lei específica para a proteção de
dados pessoais, preenchendo lacunas, seja para substituir e/ou complementar os mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados pessoais no país. Um exemplo é a Lei 12.965/2014, conhecida como Marco Civil da Internet, a qual a LGPD veio como um complemento.

Desde compras on-line as redes sociais, de hotéis a órgãos públicos, ou seja, todos os setores existentes são afetados pela Lei Geral de Proteção de Dados Pessoais (LGPD).

A proteção da LGPD é destinada aos dados pessoais de todo cidadão que esteja no Brasil. Não importa se a sede de uma organização ou o seu centro de dados estejam localizadas no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida.

Cumpre esclarecer que desde agosto de 2020, a LGPD passou a vigorar, estando suspenso apenas e tão somente as Sanções Administrativas (art. 52), motivo pelo qual, as demais disposições legais já devem ser colocadas em prática pelas organizações, o que já vem trazendo modificações jurídicas no cenário Brasileiro.

Apesar das sanções administrativas não estarem em vigor, desde agosto de 2020 o titular dos dados pessoais, passou a ter direito a questionar as empresas por meios legítimos, como o Procon, o Ministério Público, os Juizados Especiais e a Justiça Comum Estadual ou Federal, em relação às operações de tratamento de dados, inclusive com pedidos de indenizações por danos morais.
A LGPD passou a ser frequentemente utilizada em ações cíveis individuais ou coletivas, em especial sobre questões consumeristas, em defesa dos dados pessoais do titular/consumidor.

Um dos casos mais conhecido, além de ser a primeira decisão monocrática a utilizar na fundamentação a Lei nº 13.790/2018 (LGPD), foi contra a empresa Cyrela Brazil Realty S.A. – Empreendimentos e Participações, a qual teria compartilhado indevidamente os dados pessoais do cliente/autor com outras empresas distintas da relação contratual, sem a devida autorização do titular dos dados e, devido aos danos morais que causou, a Cyrela foi condenada na data de 29/09/2020 a pagar uma indenização pecuniária de R$ 10.000,00 (dez mil reais). (TJ/SP – Processo nº1080233-94.2019.8.26.0100, da 13ª Vara Cível da Comarca de São Paulo/SP).

Outro caso é o ajuizamento da primeira Ação Civil Pública baseada na LGPD, em que o Ministério Público do Distrito Federal e Territórios, busca responsabilizar uma empresa com sede na cidade de Belo Horizonte/MG, a qual teria comercializado bancos de dados pessoais de terceiros, para envio de publicidade digital e mala direta, atingindo assim, milhares de brasileiros. O objetivo do MP é que a empresa seja condenada a se abster de divulgar os dados pessoais que detém, seja de forma paga ou gratuita. (TJ-DF – Processo nº 0730600-90.2020.8.07.0001, da 5ª Vara Cível de Brasília/DF).

No mesmo sentido foi a Ação Civil Pública, em que o Ministério Público do Distrito Federal e Territórios, onde o MM. Juiz da 17ª Vara Cível de Brasília, determinou de forma liminar, que o site do Mercado Livre, tirasse do ar um anúncio em que um usuário da plataforma de vendas, oferecia banco de dados e cadastro de pessoas físicas. Mais tarde, na data de 03/03/2021, a ação foi julgada procedente, tornando a liminar definitiva, para que a ré se abstenha de disponibilizar, de forma gratuita ou onerosa, digital ou física, dados pessoais de brasileiros, sob pena de multa no valor de R$ 5.000,00 (cinco mil reais), para cada operação nesse sentido. (TJ-DF – Processo nº 0733785-39.2020.8.07.0001, da 17ª Vara Cível de Brasília/DF)

Como se não bastasse, ainda existem inúmeras ações que têm por objeto o questionamento sobre a utilização de dados pessoais no contexto da pandemia, como no caso das cinco Ações Diretas de Inconstitucionalidade,
recebidas pelo STF contra a Medida Provisória nº 954/2020, a qual prevê o compartilhamento de dados de usuários pelas prestadoras de serviços de telecomunicações com a Fundação Instituto Brasileiro de Geografia e Estatística (IBGE). A MP nº 954/20 visa possibilitar a produção estatística oficial, por meio de entrevistas em caráter não presencial, no âmbito domiciliar durante a pandemia. Os dados a serem compartilhados pelas operadoras são: nomes, números de telefone e endereços, tanto de pessoas físicas ou jurídicas. (STF – ADI nº 6387, ADI nº 6388, ADI nº 6389, ADI nº 6390 e ADI nº 6393).

São inúmeras as ações já existentes com a fundamentação na LGPD e, diante de tantas ações e diversidade de discussões, são certo que os primeiros dias de LGPD em vigor foram movimentados.

Aqui vemos que em conjunto com as demais legislações brasileiras, a LGPD de forma complementar e/ou subsidiária, pode perfeitamente ser utilizada para aplicações de sanções, inclusive pecuniárias, além das administrativas previstas em seu texto (art. 52). Portanto, pode-se dizer que a LGPD está em pleno vigor.

LGPD e o Código de Defesa do Consumidor

Vale ressaltar que a LGPD prevê mecanismos protetivos similares aos previstos no CDC, como a inversão do ônus da prova, realçando a comunicação entre os sistemas de proteção do consumidor e de proteção de dados.

As empresas que não se adequarem às novas regras estabelecidas pela LGPD, após o prazo definido (agosto/2021), poderão ser penalizadas com multas elevadas, as quais variam de 2% do faturamento bruto, até o valor de R$50 milhões (cinquenta milhões de reais), por infração, conforme o disposto no art. 52, II, da Lei 13.709/2018. Será a ANPD – Autoridade Nacional de Proteção de Dados, a responsável pela aplicação das sanções e instauração do procedimento administrativo tendente à apuração da infração, conforme redação do artigo 55-J, inciso IV da LGPD.

A LGPD trouxe sanções administrativas, porém, não trouxe nenhuma responsabilidade penal àquele que descumprir com suas regras.

Não há dúvida de que na maioria dos casos em que for aplicada a LGPD, haverá também o concurso de normas protetivas do consumidor, como no caso das relações bancárias, planos de saúde, serviços públicos etc.

Os princípios do CDC e da LGPD seguem o mesmo sentido: informação, transparência, ciência, segurança, educação, limitação e exceção, temas tratados em ambas as legislações de forma semelhante. Portanto, eles se
complementam e se fortalecem, o que é bom para o mercado brasileiro.

É claro que a sociedade vive um momento de compartilhamentos, seja de estilo de vida ou de informações nas redes sociais, daí, surgem os conflitos ocasionados pela falta de privacidade e, é nesse momento que as ambas as legislações LGPD e CDC se encontram pela primeira vez, garantindo o consentimento para uso dos dados pessoais.

Tanto o art. 7º da LGPD, quanto o art. 43 do CDC, são claros ao determinar a necessidade de se comunicar ao consumidor sobre a coleta dos seus dados e qual será sua finalidade. Ademais, as empresas também precisam fornecer o acesso aos dados sempre que solicitados pelos titulares.

Nesse sentido, o art. 6º da LGPD determina que o tratamento do dado pessoal observe a boa-fé e o livre acesso aos titulares para consulta fácil e gratuita, fortalecendo os princípios de informação e transparência.

Já o CDC em seu art. 43, deixa claro que o consumidor tem o direito a corrigir qualquer inexatidão cadastral e que isso deve ser feito em cinco dias úteis. O art. 18º da LGPD trata da mesma questão, concedendo ao titular dos dados pessoais o direito à correção. A mudança foi somente o meio pelo qual se realizará as correções, pois não é mais necessário ir ao estabelecimento para realizar a alteração cadastral, basta, tão somente, abrir o computador ou o celular e alterar a informação no site de qualquer empresa.

Contudo, um dos pontos de extrema importância presente em ambas as legislações é a segurança da informação. Devido aos constantes vazamentos de dados e invasões telefônicas, o tema “segurança da informação” está em alta. Porém, o CDC já trazia a preocupação com a segurança das informações, visando proteger a vida e a saúde dos cidadãos contra os riscos de produtos e serviços. Agora, com as interações no mundo virtual, a forma de garantir a segurança também muda, pois, é preciso proteger os dados, fato também apreciado pelo Decreto nº 7.962/2013 (Lei
do E-commerce).

O art. 4º, do CDC trata dos mecanismos de segurança para pagamento e tratamento de dados do consumidor, já o art. 46º, da LGPD apenas amplia a questão da segurança, impondo a necessidade de técnicas administrativas que garantam a proteção dos dados pessoais.

Desta forma, observamos que ambas as leis podem ser aplicadas em conjunto, complementando-se, para garantir maior segurança aos titulares de dados, já que a LGPD veio para atualizar as demandas do consumidor no mundo virtual.

Leia também: LGPD: Segurança e Sigilo de Dados